/

セールスフォース設定不備 13団体で不正アクセス確認

日経クロステック

両備システムズ(岡山市)はセールスフォース・ドットコムのクラウドサービスの「設定不備」を巡り、13団体で外部の第三者による意図しない情報へのアクセスを確認したと12日に発表した。既に両備システムズが手掛けるシステムを利用する神戸市や千葉県船橋市などで不正アクセスの被害の可能性が明らかになっている。

両備システムズが提供する「Web住民けんしん予約」や住民生活総合支援アプリ「i-Blend」、緊急通報システム「Net119」を利用する団体が不正アクセスを受ける恐れがあった。いずれもセールスフォースのクラウドを活用している。12日午後7時時点でこれら3システムを導入する71団体のうち13団体が、外部の第三者による不正アクセスを確認したとウェブサイトで明らかにしたという。

原因はセールスフォースのクラウドを活用したシステムを提供するに当たって「外部からの参照設定に関する当社の認識過誤に起因する権限設定の誤り」(両備システムズ)にあるという。同社は2月1日中に、対象システムの設定を変更し、外部の第三者からのアクセスを遮断する対応を終えている。

セールスフォースの設定不備を巡っては、楽天やPayPay(ペイペイ)などでも不正アクセスによる情報流出の恐れが明らかになっている。トラブルの発端は、セールスフォースが2016年1月に投入したUI(ユーザーインターフェース)のウェブフレームワークである「Lightning Experience(ライトニング エクスペリエンス)」にあった可能性が高い。その部品の1つとして提供されていたとみられるのが「Aura(オーラ)エンドポイント」だ。

Auraエンドポイントを使うと、「オブジェクト」と呼ばれるデータベースに対し第三者が「ゲストユーザー」の権限で直接アクセスできた。従来はオブジェクトに対するアクセス権限を広めに設定していても、UI側の作り込みで表示する情報を細かく出し分けられたが、Auraエンドポイントのリリースでこの仕組みに「穴」が空いた格好だ。

しかも、リリース当時はゲストユーザーのLightning Experienceの設定を無効にできない仕様だったという。無効にできるようになったのは19年2月のアップデート時とみられる。セールスフォースのユーザー企業からはAuraエンドポイントに関して「自宅の壁にいきなりマジックミラーを取り付けられたようなものだ」という声も漏れている。

(日経クロステック/日経コンピュータ 山端宏実、鈴木慶太)

[日経クロステック 2021年2月13日掲載]

春割ですべての記事が読み放題
今なら2カ月無料!

関連企業・業界

セレクション

トレンドウオッチ

新着

ビジネス

暮らし

ゆとり

新着

ビジネス

暮らし

ゆとり

新着

ビジネス

暮らし

ゆとり

フォローする
有料会員の方のみご利用になれます。気になる連載・コラム・キーワードをフォローすると、「Myニュース」でまとめよみができます。
春割で申し込むログイン
記事を保存する
有料会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。
春割で申し込むログイン
Think! の投稿を読む
記事と併せて、エキスパート(専門家)のひとこと解説や分析を読むことができます。会員の方のみご利用になれます。
春割で申し込むログイン